Академический Документы
Профессиональный Документы
Культура Документы
Auditora de SI
Dominio 1
Contenido
Misin de la Auditora de SI
Estndares y Lineamientos
Anlisis de Riesgo
Controles
Ejecucin de la Auditora de SI
Misin de la Auditora de SI
Origen de la funcin de Auditora de SI
Tipos
de Auditora
Evolucin
Cometidos de la Auditora de SI
Gerenciamiento de la Auditora de SI
Reglas y regulaciones
Tipos de Auditora
Segn la naturaleza de las tareas:
Contables /Financieras
Operativas (SI y Calidad)
Global
Segn su vinculacin con la empresa
Interna (sus funciones se establecen a partir de un Estatuto o
Carta de Creacin de la funcin de Auditora)
Externa (Contrato entre Firma auditora y la jerarqua de la
empresa que corresponda- carta de gerencia)
Cometidos de la Auditora de SI
Revisin de sistemas
Revisin de operaciones de produccin
Apoyo a otros auditores
Apoyo a la organizacin
Auditoras al cumplimiento de contratos y
aseguramiento de la calidad
Revisin de sistemas
Sistemas bajo desarrollo
Metodologa de desarrollo
Asesorar a los comits de direccin y control de
cambios
Revisiones de Seguridad
Revisiones de aplicaciones
Revisiones de procesamiento y backup
Apoyo a la organizacin
Proveer guas tcnicas, de control y de
seguridad al personal de sistemas
Apoyar el desarrollo de aplicaciones de control
Facilitar la implementacin de programas de
Control Self Assesment
Entrenamiento cruzado con auditores contables
Educacin profesional continua
10
11
Gerenciamiento de la Auditora
Trminos de la auditora
Planificacin
Determinacin
de reas de auditora
Conocimientos y experiencias requeridas
(organizacin, ambiente tecnolgico, industria y
sector)
Administracin de los recursos
Cronograma
Gerenciamiento de la Auditora
Administracin de recursos de la Auditora
Identificar
el alcance de la auditora
Identificar el universo de la auditora
Determinar los recursos disponibles
Asignar los recursos a las reas de mayor riesgo o de
mayor retorno para la empresa
Restricciones
Reemplazo
reciente de personal
Disponibilidad de recursos capacitados
Fechas de entrega de informes
Falta de documentacin y/o conocimientos
13
Reglas y Regulaciones
Internas y externas
Prcticas
Foco en:
Definicin
de la funcin de Auditora
Organizacin
Responsabilidades
Relacin entre Auditoras Financieras y Operativas
14
15
Estndares y Lineamientos
Estndares
Polticas
Procedimientos
Independiente
de la
Arquitectura
Tecnolgica
Prcticas Operativas de IT
Prcticas Administrativas
Prcticas de Gerenciamiento
Procedimientos Tcnicos y
Administrativos
Controles Tcnicos especficos
Dependiente
de la
Arquitectura
Tecnolgica
Estndares y Lineamientos
Marco provisto por ISACA
Estndares
Lineamientos
Cdigo
de Etica
17
Estndares de ISACA
Objetivo
Brindar
Informar
18
Lineamientos de ISACA
Objetivo
Brindar
19
20
Anlisis de Riesgo
Definicin de Riesgo
Elementos
Proceso de administracin del riesgo de
negocio
21
Definicin de Riesgo
Amenazas
Vulnerabilidad
Datos
Software
RIESGOS
Hardware
RRHH, etc.
22
Elementos
Amenazas
Errores
Ataques y acciones
maliciosas
Fraude o robo
Fallas de hard/soft
Activos
Informacin y datos
Hardware
Software
Servicios
Documentos
Personal
Vulnerabilidades
Carencias en el conocimiento de los usuarios
Funciones de seguridad con carencias
Seleccin de passwords pobre
Utilizacin de tecnologa no probada
Transmisin a travs de comunicaciones no protegidas
23
Elementos (Cont.)
Impacto
Prdidas econmicas directas
Romper normas
Prdidas de imagen, buena reputacin
Prdida de confidencialidad
Prdida de oportunidades de negocio
Reduccin del nivel de cumplimiento/eficiencia en las
operaciones
Interrupcin de la continuidad de las operaciones
Riesgo general
Riesgo residual
24
25
26
Controles
Definicin
Clasificacin de controles
Estructura de Control Interno
Objetivo de Control Interno
Objetivo de Control de SI
COBIT
Procedimientos de Control de SI
27
Definicin
Polticas, prcticas y estructuras organizativas
diseadas para asegurar razonablemente que se
pueden alcanzar los objetivos del negocio, y que
los eventos indeseables son prevenidos o
detectados y corregidos
28
Clasificacin
Controles preventivos
Controles Detectivos
Controles Correctivos
29
30
a la funcin contable
Persiguen la proteccin de activos y correctitud de los registros
contables
Operativos
Orientados
Administrativos
Orientados
32
Objetivo de Control de SI
Una declaracin del resultado o propsito que se
desea lograr mediante la implementacin de
procedimientos de control en una actividad de
Tecnologa de Informacin particular.
33
Objetivo de Control de SI
Estn dirigidos a Directivos, Gerencia y Staff de la
empresa
Conjunto de controles mnimos para asegurar la
efectividad, eficiencia y economa en la identificacin y
utilizacin de los recursos de IT
Ejemplos:
La informacin se encuentra resguardada
Cada transaccin se autoriza e ingresa una sola vez
Se informa de transacciones duplicadas o rechazadas
Se hacen copias de respaldo (Backups)
Cambios de software son debidamente probados y aprobados
34
COBIT
35
COBIT (Cont.)
36
Procedimiento de Control de SI
37
Procedimiento de Control de SI
Areas de inters:
Controles
generales de la organizacin
Acceso a datos y programas
Metodologas de desarrollo de Sistemas
Operaciones de procesamiento de datos
Funciones de configuracin y soporte tcnico
Aseguramiento de la calidad del procesamiento
de datos
38
Ejemplos:
PC General
Proteccin de Activos
PC SI
Control de acceso fsico al CPD
(Proteccin del equipamiento de
TI)
Control de acceso a datos y
programas
Control de cambios a programas
39
PC General
Continuidad de las
operaciones del
Negocio
PC SI
Procesos de Backups/Recovery
de datos y programas
Infraestructura redundante
Entrenamiento cruzado
40
Ejercicios
Procedimiento de Control:
Toda la actividad de acceso que no est de acuerdo con
las polticas y procedimientos establecidos de la
organizacin es investigada
41
Ejercicios
Riesgo:
Si el acceso no est restringido basado en el rol del
solicitante, puede resultar muy restrictivo o muy generoso.
En el ltimo caso, la requerida segregacin de tareas
puede ser violada o la confidencialidad, integridad o
disponibilidad de informacin puede correr riesgo.
42
43
Fases de Auditora
1.
2.
3.
4.
5.
6.
7.
8.
45
temas de control
Nuevas
tecnologas
Disponibilidad
Exigencias
Tcnica
de recursos
normativas
de Evaluacin de Riesgos
46
inherente
Riesgo de control
Riesgo de deteccin
Riesgo global de Auditora
47
48
49
51
52
53
5. Procedimientos de Auditora
Recopilacin de datos
Reglas
de Evidencia
Independecia
de quien la provee
Calificacin de quien la provee
Objetividad
Suficiencia
Tcnicas
Revisar
54
5. Procedimientos de Auditora
Recopilacin de datos (Cont.)
Muestreo
Estadstico
No
estadstico
55
5. Procedimientos de Auditora
Recopilacin de datos (Cont.)
de datos de prueba
Sistemas expertos
Utilitarios estndar
Software especializado de auditora
Algunas ventajas :
Reduce
56
5. Procedimientos de Auditora
Recopilacin de datos (Cont.)
Computer
57
5. Procedimientos de Auditora
Identificar y seleccionar enfoque apropiado para
verificar y probar los controles
Pruebas
de cumplimiento
Pruebas
sustantivas
58
59
60
61
62
63
64
65
de accin
Responsable
Fecha estimada
Debe ser realista para la empresa, tanto en
oportunidad como alcance.
66
Ejecutivo
Informe
Presentacin
visual
67
Seguimiento
El proceso de Auditora debe ser recurrente
El xito de la Auditora tambin depende de las
medidas que tome la Gerencia
El Auditor de SI debe realizar un seguimiento
de las acciones que tome la Gerencia
El Auditor de SI no es responsable de
implementar las recomendaciones
68
Documentacin de la Auditora
Papeles de trabajo
Notificaciones
a la Gerencia
Programa de Auditoria
Resultados de los testeos
Evidencia
Reporte de Auditoria
69
Seguimiento
70